政府機関や法執行機関の請負業者として、刑事司法情報(CJI)を扱うビジネスを開始または運営している場合、CJISコンプライアンスについて既にご存じのことでしょう。

そうでない場合、この記事はCJISコンプライアンスとは何か、誰に遵守義務があるのか、そしてお客様のビジネスがこれらの基準を満たすために、どのようにプライバシー第一のツールやサービスにアクセスできるかを理解するのに役立ちます。

CJISとは何ですか?

CJISセキュリティポリシー(新しいウィンドウ)は、FBIの(新しいウィンドウ)刑事司法情報サービス(新しいウィンドウ)(CJIS)部門によってまとめられた一連のセキュリティ基準です。これらは、収集からストレージ、共有、廃棄に至るまで、ライフサイクルのあらゆる段階でCJIを保護するように設計されています。

CJISコンプライアンスは、米国に拠点を置く組織だけでなく、米国の法執行機関や政府機関と協力する国際的な企業にとっても不可欠です。CJIを処理、保管、または加工する企業がCJISセキュリティポリシーを遵守することは、業界標準となっています。

CJISにはどのようなデータが含まれますか?

CJISポリシーの対象となる情報には多くの種類があります。

  • 生体認証データ:個人を特定する身体的または行動的特徴(例:指紋、顔認識)から抽出されたデータ。
  • 身元履歴データ:生体認証データに関連付けられたテキストデータ。このデータは、犯罪歴をまとめるためによく使用されます。
  • 伝記的データ:特定の事件に関連付けられているが、必ずしも個人のユーザー情報にリンクしているわけではない情報。
  • 物件データ:事件に関連する車両や物件に関する情報。
  • 事件/事案履歴:個人の犯罪歴。
  • 個人を特定できる情報 (PII)氏名、社会保障番号、生体記録など、個人の特定に使用できるあらゆる情報

州、地方、または連邦の法執行機関がFBIを通じて刑事司法情報にアクセスする場合、そのライフサイクル全体を通じて適切な管理を適用する必要があります。

誰がCJISに準拠する必要がありますか?

法執行機関、民間請負業者、クラウドサービスプロバイダーなど、CJIを扱うすべての組織は、CJIS基準に準拠する必要があります。

これは主にFBIの要件ですが、含まれるすべてのデータの機密性の高さから、CJISコンプライアンスは事実上の業界標準となっています。組織がFBIと直接提携していなくても、CJIを扱う場合は、不利益を受けることなく業務を継続するためにCJIS基準を遵守する必要があります。

これは、CJIと相互作用するデータシステム、バックアップ、ネットワーク、およびデバイス(プリンターなど)にも及び、これらはすべてCJISガイドラインの下で保護される必要があります。

企業が不適切にCJISデータにアクセスしたり、流布したりした場合、連邦および州の民事・刑事罰に問われる可能性があります。これらの罰罰には、罰金のほか、CJISへのアクセスの停止、取り消し、または監視(新しいウィンドウ)が含まれる場合があります。

刑事司法情報(CJI)を収集、処理、または使用する政府機関によって収集された情報は、国家データ交換(N-DEx)(新しいウィンドウ)システムに提出されない限り、CJISの管理対象にはならないことに注意することが重要です。

ただし、一度提出されると、その情報はCJIS基準を遵守する必要があります。N-DExは、機関を越えて刑事司法情報を共有するための主要なシステムであり、そのデータを安全かつ一貫して管理することを可能にします。

刑事司法情報サービス(CJIS)監査ユニット(CAU)は、CJISのシステムやプログラムを使用する機関を監査することで、刑事司法情報の完全性を守ります。それらの機関には以下が含まれます(新しいウィンドウ)

  • 州のCSAおよびリポジトリ
  • 州のUCRプログラムオフィス
  • 連邦CSA
  • 連邦規制機関
  • 広域ネットワーク(WAN)接続を持つ米国の領土内の機関
  • FBI承認のチャネラー(FBIによって選定された請負業者で、正当な受領者に代わって、非刑事司法のバックグラウンドチェックのためのフィンガープリントの電子的提出を促進するもの)
  • 犯罪歴情報の正当な宛先
  • 性犯罪者登録所
  • 法執行機関エンタープライズポータルのアイデンティティプロバイダー
  • あらゆるFBI構成要素

CJISコンプライアンスにおいて、暗号化は不可欠です

CJISデータベースにアクセスするために、組織は、ユーザーの身元を確認するためのマルチ要素認証(MFA)の実装、機密データを閲覧または変更できる人を制限するための厳格なアクセス制御の維持、CJIを扱うシステムやデバイスを保護するための物理的なセキュリティ対策の実施など、さまざまなセキュリティ基準を遵守する必要があります。

しかし、CJISコンプライアンスの鍵となるのは暗号化です。

暗号化とは何ですか?

暗号化は、意図された人以外は誰もアクセスできないように情報を隠す方法です。これは、情報のロックと解除を行う数学的なアルゴリズムを使用するコンピュータープログラムによって行われます。

CJISセキュリティポリシーには、暗号化について明示的に言及しているセクションが2つあります。

  • セクション 5.10.1.2.1: CJIが物理的に安全な場所の境界外に送信される場合、データは直ちに暗号化によって保護されるものとする。暗号化を採用する場合、使用される暗号モジュールはFIPS 140-2認定を受け、CJIを保護するために少なくとも128ビットの強度の対称暗号鍵を使用するものとする。
  • セクション 5.10.1.2.2: CJIが物理的に安全な場所の境界外で保存(すなわちデジタル保管)されている場合、データは暗号化によって保護されるものとする。暗号化を採用する場合、機関は上記のセクション 5.10.1.2.1 の基準に従ってCJIを暗号化するか、FIPS 197認定(AES)かつ少なくとも256ビットの強度の対称暗号を使用するものとする。

暗号化は、保存中および転送中の両方でCJIが確実に保護されるようにするのに役立ちます。残念ながら、クラウドストレージメールなどの多くのオンラインサービスは、デフォルトでエンドツーエンド暗号化を使用しておらず、転送中にデータが脆弱な状態になっています。

私たちは、このニーズを満たすために2014年にProtonを創設しました。スイスのCERN(欧州原子核研究機構)で出会った科学者たちによって開発されたProtonは、機密性の高いメール、ファイル、パスワード、その他のデータを強力なエンドツーエンド暗号化で保護し、誰にとっても使いやすい方法で提供しています。現在、政府機関、軍事部門、フォーチュン500企業を含む1億人以上のユーザーが、情報の保護とデータ保護基準の遵守のためにProtonを信頼しています。

Protonでお客様のデータを守りましょう

Proton Mailで情報を送信する場合でも、Proton Driveにファイルを保存する場合でも、Proton Passで認証情報を管理する場合でも、Protonはお客様のデータを安全に保ち、不正アクセスから保護します。

デフォルトでプライベート

Proton Mailを使用すると、組織内で送信されるメールはデフォルトでエンドツーエンド暗号化されます。つまり、メッセージや添付ファイルは送信前にお客様のデバイス上でロックされ、宛先のユーザーのみがロック解除して読み取ることができます。Proton Mail以外のアカウントへのメールについては、パスワード保護されたメールを送信でき、受信メールを自動的に保護するためにゼロアクセス暗号化が導入されています。

どのような場合でも、メッセージは常に弊社のサーバー上で暗号化されています。これは、万が一サーバーが侵害された場合でも、お客様の会社のメールは安全なままであり、お客様以外は読み取ることができないことを意味し、サイバー攻撃から機密情報を守ります。

Protonがお客様のメッセージ、ファイル、および多くの種類のメタデータを復号化することは数学的に不可能です。(暗号化される内容をご確認ください。)また、Protonはスイスに拠点を置いているため、収集されるわずかなお客様に関するデータはスイスのプライバシー法によって保護されており、外国の法執行機関からの要請の対象にはなりません。

ハッカーに対する防御

Protonには、潜在的なサイバー攻撃に対する複数の防御層もあります。

  • PhishGuard:ProtonのPhishGuardフィルターは、フィッシングの試みを特定してフラグを立てるように設計されています。フィッシング攻撃が検出されると、警告が表示されます。
  • 2要素認証(2FA):Proton Mailは、2要素認証(2FA)により、パスワードだけではないセキュリティを提供します。Protonは、認証アプリや物理セキュリティキーなど、いくつかの2FA方式をサポートしており、最も便利で安全なオプションを選択できます。Proton for Businessプランでは、管理者は組織に対して2FAを必須として強制し、従業員間のセキュリティを強化することもできます。
  • Proton Sentinel: これはProtonの高度なアカウント保護プログラムで、Proton Mail ProfessionalまたはProton Business Suiteプランでご利用いただけます。AIと人間による分析を組み合わせて、最大限のセキュリティをお客様に提供することを目的としています。これは、エグゼクティブの方や、機密性の高いデータや通信を扱う方に特に便利です。Proton Sentinelは、セキュリティアナリストによる不審なログイン試行の報告、解決に向けた24時間年中無休のサポートを提供します。

Protonでコンプライアンスを維持する

私たちの目標は、インターネットを再構築し、個人や組織が自身のデータを自ら管理できるようにすることです。

Proton Mailへの切り替えは、弊社のEasy Switch機能により非常に簡単です。チームにトレーニングを行う必要もなく、組織のすべてのメール、連絡先、カレンダーを他のサービスからシームレスに移行できます。

弊社のサポートチームは24時間年中無休で待機しており、追加の支援が必要な場合はライブサポートを提供いたします。エンドツーエンド暗号化メールであるProton Mailと、エンドツーエンド暗号化クラウドストレージサービスであるProton Driveにより、データ保護とプライバシーの要件を簡単に満たすことができます。

Proton for Businessのご利用には、以下のような追加の利点があります:

  • Proton Mail: ビジネス通信をエンドツーエンド暗号化メールで保護し、お客様と指定した宛先のみがメッセージを読めるようにします。
  • Proton VPN: インターネット接続を保護し、高速VPNアクセスでオンラインアクティビティを保護します。
  • Proton Calendar: ビジネスの予定をプライベートに保つ暗号化されたカレンダーで、スケジュールを管理します。
  • Proton Pass: 暗号化されたパスワードマネージャーで、パスワードを安全に保存・管理します。
  • Proton Drive: エンドツーエンド暗号化により、データをプライベートかつ保護された状態に保ちながら、ビジネスファイルを安全に保存・共有します。
Proton for Businessを入手

ビジネスをProtonのエコシステムに移行することは、お客様自身と預けられたデータを守り、コンプライアンスを維持し、プライバシーがデフォルトである未来を構築することに同時に貢献することを意味します。